15.3 C
București
joi, 28 martie 2024
AcasăSpecialEXCLUSIVITATE. Geniu anti-hacking: Guverne din lume au plătit companii pentru a livra...

EXCLUSIVITATE. Geniu anti-hacking: Guverne din lume au plătit companii pentru a livra soluții de spionare a propriilor cetățeni. Entități private puternice cotrobăie și ele prin datele tale. Cum poți să te aperi de cei care îți violează intimitatea virtuală

Un specialist de origine română în soluția IT anti-hacking a explicat, într-un interviu exclusiv pentru „România liberă“, cum se poate apăra o persoană împotriva celor care vor să-i urmărească viaţa virtuală, fie că sunt persoane private sau de stat.

Când a apărut ideea codării mesajelor?

Edward: Aceasta este o idee foarte veche și primele încercări de a codifica un mesaj datează încă din antichitate.  De-a lungul timpului, au apărut diverse metode de a coda/cripta mesaje adaptate erei respective. La început se practica numai amestecarea caracterelor după o regulă ştiută atât de cel ce coda mesajul, cât şi de cel care decoda mesajul, pe câtă vreme în epoca modernă metodele de criptare au evoluat, datorită, evident, saltului tehnologic.

Un utilizator simplu folosește criptarea în fiecare zi, de nenumărate ori, fără să își dea seama. Un mesaj trimis prin whats-app, verificarea mailului, a contului de online banking etc., toate presupun un anumit nivel de criptare. Acest lucru este de înțeles, datorită faptului că marea parte a comunicațiilor de date și voce se face, în ziua de azi, peste o infrastructură publică numită Internet, deschisă teoretic tuturor oamenilor de pe glob.

Totuşi, un utilizator trebuie să conștientizeze faptul că fiind legat la Internet, este expus în această rețea, unde poate fi găsit teoretic de oricine de pe pământ cu acces la Internet. Pentru a se apăra împotriva eventualelor atacuri, utilizatorul trebuie să adopte o politică de tip firewall, ce ar avea rolul filtrării traficului dinspre Internet către rețeaua locală sau dinspre Internet către PC, telefon etc. și de ce nu și în celălalt sens, dinspre dispozitiv către Internet.

În anumite cazuri, utilizatorul trebuie să țină cont nu doar de criptarea informației transmise, cât și de criptarea informației de pe hard-disk-ul propriu, evitând astfel problemele legate de furtul informației ce poate apărea în cazul pierderii dispozitivului respectiv. 

Pe de altă parte, din cauza dinamicii foarte rapide a tehnologiei, cât și a diversificării metodelor de atac sau hacking, sarcina securizării devine un efort mare pentru un utilizator simplu. O practică des întâlnită, aproape universal valabilă, este de a cumpăra produse de securitate de la marile companii din domeniu. 

De asemenea, vă puteți gândi la produsele electronice care conțin elemente de securitate, destinate companiilor. Am putea menționa aici serverele de e-mail, firewall-urile, serverele Web etc., atât de utile oricărei companii în secolul XXI. 

Până la urmă nu e o idee deloc rea să îți încredințezi securitatea datelor tale în mâinile unei companii de renume, al cărei istoric și performanțe preced orice recomandare. Oare? Propun în cele ce voi dezvălui în continuare o altă viziune, un alt punct de vedere asupra acestor aspecte descrise mai sus.

Ce se ascunde, de fapt, sub denumirea „legal environment“?

Edward: Merită menționat de la început un aspect legat de partea legislativă a acestui domeniu. În anii imediat următori celui de-al Doilea Război Mondial, ţările occidentale au infiinţat așa-numitul CoCom (Coordinating Committee for Multilateral Export Controls) care se ocupa de controlul exportului de armament din ţările membre semnatare. Un episod ce merită trecut în revistă din istoria acestui pact a fost violarea lui de către Japonia și Norvegia, mai precis de Toshiba Machine Corporation și Konsberg Group, care au vândut către Uniunea Sovietică opt sisteme de propulsie cu elice controlate de către calculator, ce au permis URSS să optimizeze capacitatea submarinelor sale de a evita detecția de către sonare. Acest acord a stat în picioare și a fost valabil până în anul 1994. 
  
Ce s-a întâmplat după expirarea acestui acord?

Edward: Doi ani mai târziu, în 1996, la Wassenaar, în Olanda s-a semnat „Wassenaar Arrangement“, un alt acord internațional ce avea cam același scop ca și CoCom. La el au subscris mai multe state, incluzând și multe ţări din pactul de Varșovia. Deși venea cu niște condiții mai relaxate (datorită sfârșitului Războiului Rece) decât predecesorul său, acordul de la Wassenaar Arrangement avea sub jurisdicția sa mai multe domenii, printre care producția de computere, telecomunicațiile și tehnologia informației.  Acest acord a fost semnat cu intenția de a controla exportul așa-numitelor tehnologii cu scop dual („dual-use“), adică ce pot fi folosite atât în scop pașnic, cât și ca arme sau ca subansamble la anumite părți de armament. 
 În mod oficial, pe lista obiectelor ce pică sub jurisdicția acestui acord, produsele criptografice au fost menționate abia în anul 2013.

Autorii documentului mențio-nează că restricțiile impuse produselor criptografice nu se aplică și produselor ce se pot vinde la tejghea, prin livrări prin poștă, tranzacții prin e-mail, tranzacții pe telefon. De asemenea, o condiție ca produsul criptografic să nu aibă nevoie de avizul statului pentru a fi exportat este ca funcția criptografică să nu poată fi modificată cu uşurinţă de către utilizator. Cu alte cuvinte, în caz de nevoie, guvernul din țara de origine a producătorului produsului criptografic poate ruga producătorul să îi divulge elemente ale funcției criptografice, iar comunicarea pe baza acelui produs criptografic să fie decriptată fără efort.  Trebuie spus că România a aderat la Wassenaar Arrangement  încă din anul 1996. 

Deși produsele criptografice au fost menționate în mod oficial ca fiind parte a Wassenaar Arrangement  abia în anul 2013, a fost un episod în istoria acestui domeniu care demonstrează faptul că cel puțin câteva din guvernele semnatare au manifestat un interes în acest sens cu mult înainte. În anul 1991, Guvernul SUA a dat o lege prin care forța toți providerii de comunicații electronice, cât și producătorii de echipamente și servicii de comunicare electronică să se asigure că sistemele lor permit guvernului american să decripteze comunicațiile de date, voce etc., atunci când legea o impune. Cu alte cuvinte, să introducă un backdoor în sistemele concepute de ei, dând astfel posibilitatea guvernului de a exploata acest aspect.  
În anul 1996, un software engineer numit Phillip Zimmermann a lansat către public un program cunoscut sub numele PGP (Pretty Good Privacy), folosit îndeosebi pentru criptarea mailurilor. În acel moment, guvernul SUA a început o anchetă împotriva sa, pentru faptul că a încălcat „Arms Export Control Act“. Ancheta nu a avut ca rezultat final condamnarea lui Zimmermann, datorită presiunii publice imense iscate în urma acestui episod. 
 
Ce este cu acest PGP?

Edward: Pe Internet există o multitudine de tutoriale despre folosirea PGP-ului în criptarea e-mail-urilor. Personal, cred că folosirea PGP în ziua de azi oferă protecție împotriva hackerilor, dar nu rezolvă decât parțial problema confidențialității e-mailurilor față de guverne. Din 1996 și până în prezent, tehnologia a evoluat și anumite aspecte mă fac să cred că folosirea PGP nu face decât ca efortul de decriptare a mesajelor de e-mail, din partea guvernelor, să ia ceva mai mult timp, dar nu fără rezultat. Vom dezvolta ulterior.   

Interviul cu hackerul Edward va continua în ediţiile următoare ale României libere  

Un om poate fi identificat de la distanţă în mall

Companiile (spre exemplu americane), mai ales cele care sunt subvenționate de la bugetul de stat și care produc produse criptografice ori care au și o componență criptografică, sunt mai interesate de confidențialitatea datelor utilizatorului final sau mai degrabă de posibilitatea guvernului de a intercepta, decripta, analiza informațiile utilizatorului, și poate chiar vasale guvernului respectiv? 

Edward:  Iată ce sunt produsele criptografice (comerciale) oferite de companii. Cum am menționat ceva mai devreme, la începutul erei Internetului, securitatea comunicațiilor nu ocupa un loc fruntaș pe lista preocupărilor utilizatorilor, căci Internetul, așa cum am spus mai sus, era restrâns, și destinat numai anumitor entități demne de încredere. Cu timpul, datorită creșterii numărului de utilizatori, dar mai ales diversificării tipului utilizatorilor, s-a ajuns la un nivel ridicat de conștientizare a pericolelor pe care le presupune activitatea nesecurizată pe Internet. În așa-numita eră „dot.com“ din anii ’90, industria IT și deci și cea a soluțiilor de securitate a înregistrat o creștere spectaculoasă. 

A fost perioada în care multe companii din domeniu au reușit să se dezvolte considerabil, o perioadă în care s-au înregistrat multe startup-uri în tehnologie. 

Cum s-a răsfrânt criza economică asupra acestui domeniu?

Edward: Odată cu venirea crizei, cum era și de așteptat, multe companii (client) au încercat să își reducă cheltuielile, și implicit și cheltuielile cu infrastructura IT, atât cu cea de transport, cât și cu infrastructura de securitate. Anumite companii producătoare de soluții informatice au intuit aceste schimbări și au prevăzut corect modificările în comportamentul clienților. Altele nu! Mulți clienți au continuat să cumpere și să plătească pentru soluții de securitate scumpe, alți au fost forțați să reducă bugetele, printre altele și bugetul cu cheltuieli în IT. Așa se face că multe companii de securitate cu un portofoliu cândva bogat în clienți au ajuns în anii crizei să sufere din punct de vedere financiar. Pentru aceste companii, o gură de aer a venit din partea guvernelor. Așa cum și presa a relatat prin preluarea unor materiale publicate de cei de la WikiLeaks, guverne de peste tot în lume au plătit companii, mai mici și mai mari, care le-au livrat soluții de spionaj propriilor cetățeni. Cel mai răsunător caz a fost al companiei italiene Hacking Team care livrează soluții către guverne (inclusiv unele care încălcau flagrant drepturile omului) și corporații prin care acestea pot monitoriza, intercepta și decripta fișiere, e-mail-uri, convorbiri Skype, convorbiri VoIP, să activeze de la distanță microfoanele sau camerele web de pe PC-uri aflate la distanță, etc. 

Un exerciţiu de imaginație 

ne-ar face să ne întrebăm dacă un guvern nu ar avea puterea de a vedea dacă un individ este într-un loc public sau nu. Ne putem închipui cum toate telefoanele dintr-o locație (de pildă dintr-un mall) pot fi forțate să trimită imagini preluate de la camere și apoi analizate cu un software de „face recognition“. 

Asta fără să aibă nici un om trimis în teren și, deci, cu cheltuieli de logistică mult diminuate!  Lista companiilor prezentate de WikiLeaks în Spy Files este oricum foarte mare. Printre firme, regăsim nume mai puțin cunoscute, dar și companii de top, precum Siemens, Nokia, etc.   

Cel mai răsunător caz a fost al companiei italiene Hacking Team, care livrează soluții către guverne (inclusiv unele care încălcau flagrant drepturile omului) și corporații prin care acestea pot monitoriza, intercepta și decripta fișiere, e-mailuri, convorbiri Skype, convorbiri VoIP, să activeze de la distanță microfoanele sau camerele web de pe PC-uri aflate la distanță etc.“

Cele mai citite

Cinci legi au fost promulgate de președintele Iohannis. Chirițoiu rămâne șef al consiliului Concurenței până în 2026

Președintele Klaus Iohannis a promulgat în cursul zilei de azi cinci legi. Este vorba printre altele despre legea hărțuirii la locul de muncă, dar...

Imagini șocante cu soldații israelieni: se joacă cu lenjeria intimă a femeilor palestiniene

Imaginile prezentate public şochează, pe fondul ofensivei israeliene pe care IDF o poartă din Gaza de câteva luni, ca răspuns la atacurile din 7...

Tarifele polițelor de asigurare obligatorie rămân plafonate până la 30 iunie 2024

Executivul a aprobat actul normativ promovat de Ministerul Finanțelor și elaborat de Autoritatea de Supraveghere Financiară prin care prelungește cu trei luni perioada de...
Ultima oră
Pe aceeași temă